CGI 汎用の脆弱なパラメーター検出(潜在性)
low Nessus プラグイン ID 50418
Language:
概要
Web アプリケーションが 500 コードを返します。説明
リモートサービスでホストされている Web アプリケーションは、発見された CGI が無効な値で呼び出されると、50x 応答コードを返しました。これらのコードには、いくつかのオリジンが存在する可能性があります:- Web アプリケーションのファイアウォールまたは別の保護メカニズムは、不意にリクエストに割り込むことがあります。
- 一時的な Web サーバーまたはバックエンドの不具合が存在する可能性があります。このような場合の共通のコードは、503「Service Unavailable」(サービスが利用できません)または 504「Gateway Timeout」(ゲートウェイタイムアウト)です。
- プロセスエラーにより、CGI やバックエンドモジュールのクラッシュが発生します。このような場合、500「Internal Server Error」(内部サーバーエラー)または 502「Bad Gateway」(ゲートウェイが不適切です)のようなコードが表示されます。
Nessus テストでは、501「Not Implemented」(実装されていません)または 505「HTTP Version Not Supported」(HTTP バージョンはサポートされていません)が表示されます。
報告されている CGI は監査される必要があります。
ソリューション
- 関連の CGI の監査- 無効な形式の入力データのフィルター除外
- 処理エラーのトラップ
プラグインの詳細
深刻度: Low
ID: 50418
ファイル名: torture_cgi_50x.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/10/30
更新日: 2021/1/19
サポートされているセンサー: Nessus
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests, Settings/HTTP/OWASP10